Alertas de seguridad

Vulnerabilidad en Apache HTTP Server

El 5 de octubre, el Proyecto del servidor HTTP Apache parcheó CVE-2021-41773, una vulnerabilidad de divulgación de archivos y cruce de ruta en el servidor HTTP Apache, un servidor web de código abierto para Unix y Windows que se encuentra entre los servidores web más utilizados. Según el aviso de seguridad, CVE-2021-41773 se ha explotado en la naturaleza como un día cero. La vulnerabilidad fue revelada al Proyecto del servidor HTTP Apache el 29 de septiembre por Ash Daulton y el equipo de seguridad de cPanel. Sin embargo, el aviso no indica cuándo se detectó la explotación de CVE-2021-41773, pero es lógico que la explotación impulsó el lanzamiento acelerado de un parche.

Apache 2

CVE-2021-41773 se introdujo en el servidor HTTP Apache mediante un cambio realizado en la normalización de la ruta en la versión 2.4.49, que se publicó el 15 de septiembre. Esta vulnerabilidad solo afecta al servidor HTTP Apache versión 2.4.49 con el acceso "require all denied". configuración de control deshabilitada.

Una explotación exitosa le daría a un atacante remoto acceso a archivos arbitrarios fuera del documento root en el servidor web vulnerable. Según el aviso, esta falla también podría filtrar "la fuente de archivos interpretados como scripts CGI" que pueden contener información confidencial que los atacantes pueden aprovechar para realizar más ataques.

Según una búsqueda de Shodan, poco menos de 70.000 servidores HTTP Apache ejecutan la versión vulnerable 2.4.49 y poco menos de 15.000 son los que ejecutan la versión 2.4.50, que fue el release inicial para cerrar dicha vulnerabilidad. Sin embargo, el número puede ser mayor dado que es posible configurar los dispositivos para no mostrar esta información.

Apache 1

En la misma versión, el Proyecto HTTP de Apache Server abordó CVE-2021-41524, una vulnerabilidad de desreferencia de puntero nulo que podría conducir a una condición de denegación de servicio que también solo afecta a la versión 2.4.49.

Las vulnerabilidades vienen identificadas con los siguientes CVE:

  • CVE-2021-41773

  • CVE-2021-42013

Las siguientes versiones se ven afectadas:

  • Apache HTTP Server 2.4.49

  • Apache HTTP Server 2.4.50 

ACCIONES RECOMENDADAS:

Todos los usuarios deben asegurarse de actualizar a la última versión de Apache HTTP Server. El 7 de octubre, Apache HTTP Server Project lanzó la versión 2.4.51 porque la versión original (2.4.50) no abordó completamente CVE-2021-41773.

La información que compartimos es informativa y refleja los datos disponibles para el momento de la publicación. Sin embargo, es importante que consulte las actualizaciones disponibles en relación con cada vulnerabilidad que pueda afectar sus sistemas. Le recomendamos hacerlo directamente en el sitio web de cada fabricante o en bases de datos públicas como la de NIST.

Topics: Apache